A Check Point Software Technologies publicou o seu Índice Global de Ameaças para outubro de 2024, revelando um grande aumento no uso de infostealers, como o Lumma Stealer, e uma evolução nas estratégias de ataque por parte dos cibercriminosos.
Este índice reflete as tendências observadas globalmente, onde as técnicas de ataque têm vindo a adaptar-se, explorando novos vetores para comprometer redes e dispositivos.
Os infostealers, que visam a extração de dados confidenciais, estão a destacar-se no panorama de ameaças, com o Lumma Stealer a subir para o quarto lugar na lista de malwares mais prevalentes.
Este malware utiliza uma cadeia de infeção que recorre a páginas CAPTCHA falsas para disseminação. Os vetores de infeção incluem downloads de jogos crackeados e e-mails de phishing direcionados a utilizadores do GitHub, introduzindo scripts maliciosos na área de transferência das vítimas para comprometer sistemas.
Malware móvel mantém posição de destaque com novas variantes
No campo do malware móvel, o Necro, uma nova versão que ocupou o segundo lugar em termos de prevalência, continua a representar uma ameaça significativa. O malware infetou múltiplas aplicações populares disponibilizadas no Google Play, afetando mais de 11 milhões de dispositivos Android.
O Necro utiliza técnicas avançadas de ofuscação e esteganografia para ocultar os seus payloads, permitindo que este mostre anúncios em janelas invisíveis e subscreva os utilizadores em serviços pagos de forma não autorizada. A sua capacidade de evadir deteção e monetizar infecções demonstra uma sofisticação crescente nas técnicas cibercriminosas.
Situação em Portugal: prevalência de AgentTesla e impacto no setor da Educação
O relatório aponta que, em Portugal, o malware mais prevalente em outubro foi o AgentTesla, com um impacto de 16,96% nas organizações. Este malware, classificado como um Remote Access Trojan (RAT), é amplamente utilizado para registar teclas, capturar ecrãs e extrair credenciais de programas como navegadores e clientes de e-mail. O setor da Educação e Investigação foi o mais visado, mantendo a tendência registada nos meses anteriores.
Além do AgentTesla, o Lumma Stealer ocupou o segundo lugar com 8,58%, seguido pelo CloudEye com 7,24%, refletindo um padrão diversificado de ataques direcionados a infraestruturas locais.
Análise das principais ameaças globais e setores mais visados
O FakeUpdates (também conhecido como SocGholish) e o Androxgh0st continuam a liderar globalmente, mantendo as suas posições devido à capacidade de explorar vulnerabilidades em plataformas como o Laravel e servidores Apache. Estes malwares permitem comprometer sistemas para a exfiltração de informações sensíveis, como credenciais de contas Twilio e chaves AWS.
No que diz respeito aos setores mais atacados a nível global, o setor da Educação/Investigação permaneceu em primeiro lugar, seguido pela Administração Pública/Defesa e pelas Telecomunicações. Em Portugal, os setores mais afetados foram a Educação, Saúde e Transportes.
Ransomware aumenta a pressão com ataques de dupla extorsão
O cenário de ransomware continua a evoluir, com o grupo RansomHub a liderar as operações em outubro, responsável por 17% dos ataques registados em plataformas de divulgação pública. Este grupo, uma versão rebatizada do ransomware Knight, visa uma ampla gama de sistemas operativos, incluindo Windows, macOS e Linux, focando-se particularmente em ambientes VMware ESXi.
O Play Ransomware, que surgiu em 2022, e o Meow, uma variante baseada no ransomware Conti, completam o pódio dos grupos mais ativos. O Play Ransomware recorre a técnicas como o uso de binários de vida livre (LOLBins) para exfiltração de dados, enquanto o Meow utiliza encriptação ChaCha20 para bloquear ficheiros e exige resgates através de contactos por e-mail ou Telegram.
Vulnerabilidades continuam a ser exploradas
O relatório da Check Point indica que vulnerabilidades em servidores web, como a passagem de diretório, continuam a ser exploradas, permitindo que atacantes acedam a ficheiros de forma remota.
A injeção de comandos em dispositivos Zyxel ZyWALL também foi destacada como uma das vulnerabilidades críticas que os cibercriminosos estão a utilizar para obter controlo não autorizado de sistemas.
O cenário global de ciberameaças continua a demonstrar uma evolução constante nas técnicas e nos vetores de ataque, exigindo que as organizações reforcem as suas defesas cibernéticas e adotem medidas proativas para mitigar os riscos emergentes.
A Check Point sublinha a importância de uma abordagem adaptativa para enfrentar os desafios que se avizinham, à medida que os atacantes continuam a inovar nos seus métodos.
Para mais informações, visite o blog da Check Point.
Outros artigos interessantes: